CAPITULO 6
CONFIGURACION DE SESSIONES
- Ahora que ya tenemos mas o menos protegidos nuestros archivos y asignado un rol al usuario , vamos a configurar las sessiones
1 - configuremos las directivas de session
si no se tiene acceso al archivo php.ini deberemos modificarlo en tiempo de ejecucion
algunas directivas muy pocas no se comentan, no afectan .
Código PHP:
Ver original<?php
// ruta donde guardaremos los archivos creados.
ini_set('session.save_path','ruta');
// nombre de la session que se usa como nombre de la cookie
ini_set('session.name','por defecto PHPSESSID');
// inicia una session automaticamente
ini_set('session.auto_start',false);
// contiene la subcadena para comprobar cada HTTP Referer. Si la Referencia fue enviada por el cliente y la subcadena no se encontró,
// el id de sesión embebido será marcado como no válido
ini_set('session.referer_check','');
// almacenar el id de session en una cookie en la parte del cliente
ini_set('session.use_cookies',true);
// usar cookies para almacenar el id de sesión en la parte del cliente,
// este ajuste previene ataques que impican pasar el id de sesión en la URL
ini_set('session.use_only_cookie',true);
// tiempo de vida en segundos de la cookie que es enviada al navegador.
ini_set('session.cookie_lifetime',0); // 0 por defecto hasta que se cierre el navegador
// especifica la ruta a establecer en la cookie de sesión. Por defecto es /.
ini_set('session.cookie_path','ruta');
// especifica el dominio a establecer en la cookie de sesión
ini_set('session.cookie_domain','dominio');
// especifica si las cookies deberían enviarse sólo sobre conexiones seguras, esto dependera de cada dominio
ini_set('session.cookie_secure ',0);
// Marca la cookie como accesible sólo a través del protocolo HTTP. Esto siginifica que la cookie no será accesible por lenguajes de script, tales como JavaScript.
// Este ajuste puede ayudar de manera efectiva a reducir robos de indentidad a través de ataques
ini_set('session.cookie_httponly',1);
// especifica el método de control de caché usado por páginas de sesión
ini_set('session.cache_limiter','nocache');
// especifica el tiempo de vida en minutos para las páginas de sesión examinada
ini_set('session.cache_expire',valor deseado
);
// si está habilitado sid transparente o no
ini_set('session.use_trans_sid',0);
// directivas eliminadas en 5.4 en versiones inferiores desactivar
ini_set('session.bug_compat_warn',0); ini_set('session.bug_compat_42',0);
// algoritmo hash utilizado para generar los ID de sesión.
ini_set('session.hash_function','algoritmo soportado'); // se puede obtener algoritmos soportados con la funcion hash_algo() , por defecto '0' md5 ,'1' sha-1
// especifica qué etiquetas HTML son reescritas para incluir el id de sesión si el soporte para sid transparente está habilitado,
// desabilitandolo no incluiremos el id de session en las etiquetas a=href,area=href,frame=src,input=src,form=fakeentry,fieldset=
?>
Eso es todo sobre el capitulo 6 , si sabes otras maneras o mejorar lo expuesto o solo deseas mostrar tu opinion por favor exponlo .
Saludos nos vemos nuevamente con el capitulo 7
capitulos
1 - proteger directorios :link
http://www.forosdelweb.com/f18/segur...ml#post4410846
2 - mensajes de error : link
http://www.forosdelweb.com/f18/segur...ml#post4412140
3 - archivo de configuracion : link
http://www.forosdelweb.com/f18/segur...ml#post4412159
4 - permisos y roles : link
http://www.forosdelweb.com/f18/segur...ml#post4412275
5 - verificacion de archivos : link
http://www.forosdelweb.com/f18/segur...ml#post4412596